文│ 中国移动通信集团有限公司 李慧镝 张滨 袁捷

当今世界正面临“百年未有之大变局”,全球新一轮科技革命和产业变革蓬勃兴起,随着以互联网和通信为代表的信息技术逐渐成为推动人类社会发展的核心动力,网络空间已成为继陆、海、空、天之后的“第五空间”。作为新基建重点领域之首,5G超越了移动通信的范畴,成为第四次工业革命的技术基石,正在与大数据、云计算、人工智能等信息技术紧密协同,连接万物、聚合平台、赋能产业,将在经济社会发展中发挥不可估量的重要作用。但是,5G提供的新特征在带来业务支持灵活性、网络部署经济性等诸多效益的同时,也面临新业务、新架构、新技术带来的安全问题和挑战,需要基于创新思维,结合被动防御和主动防御的网络安全防护理念和措施,打造“5G安全网络”,为新基建和各行各业的安全发展保驾护航。

一、没有5G安全就没有产业的安全

现阶段,我国经济社会数字化转型呈现“五纵三横”的新特征,“五纵”是当前信息技术向经济社会加速渗透的五个典型场景,包括基础设施数字化、社会治理数字化、生产方式数字化、工作方式数字化、生活方式数字化;“三横”是当前经济社会数字化转型的三大共性需求,表现为线上化、智能化、云化。5G正在推动移动通信技术从消费侧向生产侧全面渗透,助力产业实现智能化转型。

2020年4月20日,国家发改委首次明确了新基建的含义与范围。5G作为“基础”的信息基础设施,是赋能新基建发展和各行各业数字化转型的网络支撑与重要载体。根据工信部数据,截至2020年12月,全国5G基站建设总量已超过70万个,5G终端连接数超1.8亿,良好的基础设施促进了众多基于5G的新应用的产生和成熟。

党的十九届五中全会提出,要“统筹发展和安全,建设更高水平的平安中国”,要“坚持总体国家安全观”“统筹传统安全和非传统安全,把安全发展贯穿国家发展各领域和全过程”。5G作为新基建之首,重视5G安全,提升防护水平,刻不容缓。可以说,5G作为信息基础设施,网络安全已成为其发展的关键核心,没有5G安全,就没有产业的安全。

二、5G安全特性与挑战

5G引入了新的业务和技术特征,使其具备了促进社会变革的能力。从业务层面来说,5G除了延续以大带宽能力支撑移动互联网发展之外,还提供了低时延和大连接能力,能够支撑物联网和工业互联网的发展,给千行百业的数字化转型注入动力。从技术层面来说,5G采用了基于服务的架构(SBA)和网络功能虚拟化技术,并提供网络切片能力,实现了云网一体化,能够灵活地支持具有不同网络能力需求的差异化业务场景。5G的这些新特征既带来了新的安全特性,也面临着新的安全挑战。

(一) 5G安全特性

1. 标准层面

从标准层面来看,5G非独立组网网络和4G网络具有相同的安全机制,并通过全球统一的高安全标准和实践不断提升其安全级别,同时,为了应对未来5G生命周期内可能出现的安全挑战,5G独立组网网络支持更多的内生安全特性,主要体现在以下几个方面:

(1)更好的空口安全:在2/3/4G中用户和网络之间用户数据加密保护的基础之上,5G标准进一步支持用户数据的完整性保护机制,防范针对用户数据的篡改攻击。

(2)增强的用户隐私保护:在2/3/4G时,用户的永久身份IMSI在空口是明文发送的,攻击者可以利用这一缺陷追踪用户。在5G中,用户永久身份SUPI以加密形式发送,可以防范“IMSICatcher”攻击。

(3)更好的漫游安全:通信运营企业之间通常需要通过网络转接来建立漫游连接。攻击者可以通过控制转接运营商设备的方法,假冒合法的核心网节点,发起信令攻击。5G的SBA架构定义了SEPP,在传输层和应用层对运营商间的信令进行端到端安全保护,使得运营商间的转接设备无法窃听核心网之间交互的敏感信息(例如密钥、用户身份、短信等)。

(4)增强的密码算法:为了应对量子计算机对密码算法的影响,5G在未来版本可能需要支持256位算法。

2. 网络架构层面

从网络架构层面来看,5G采用了云网融合、网络切片和统一的安全架构,为网络和业务提供新的安全特征:

(1)云网融合:云网融合有利于构建端到端的内生安全体系,实现从静态防御到动态防御、被动防御到主动防御的转变,基于安全编排自动化与响应(SOAR:Security OrchestrationAutomation and Response)和软件定义安全(SDSec:Software Defined Security),对安全能力和安全服务链进行按需自动编排,建立自适应的安全防护机制。此外,还能够部署安全资源池,实现安全能力的对外开放和服务输出。

(2)统一安全架构:统一安全架构保证贯穿5G网络全程全网的安全一致性,保障网络层面从终端、接入网、核心网到业务网络的端到端安全。通过安全能力开放,安全一致性可以延伸到业务应用层面,实现业务应用的端到端安全。

(3)网络切片:网络切片通过按需组网的方式为具有差异化需求的业务建立相应的端到端虚拟网络,实现不同业务之间的逻辑隔离。网络切片除了保障业务的SLA要求之外,还能够根据业务的安全需求制定安全策略,提供相应的安全防护能力。

(二) 5G与垂直行业融合面临的安全挑战

5G“赋能垂直行业,开启万物互联”已成为全社会的共识。垂直行业是5G的主要应用场景,企业出于更高效、更安全等因素选择5G,但5G与垂直行业融合的过程中,仍然会给垂直行业带来突出的安全风险:

1. 应用软件存在安全漏洞:不同垂直行业及相关企业的软件开发能力参差不齐,难以形成标准的安全软件开发流程规范,部分垂直行业应用在软件开发过程中未能全面考察安全风险和安全需求,导致发布的应用程序中存在一定安全漏洞,通过5G形成万物互联网络后,给垂直行业的业务运行造成安全隐患。

2. 安全能力与业务未同步发展:当前的垂直行业应用开发较多使用开源平台软件,以达到应用程序快速开发和发布的目的,而安全防护能力需要适配各种软件开发和发布的速度,使其安全性得到保障,尽管业界一直在努力开拓创新的思路,但至今仍未达到期望的安全效果。

如果上述安全风险得不到有效的管控,必将对业务与网络融合的5G+垂直行业带来安全威胁,垂直行业应用系统安全事件的影响可能蔓延到承载其运行的5G网络,例如发起针对5G核心网的攻击,造成网络性能下降甚至瘫痪,又反过来影响5G网络承载的其它垂直行业应用的正常运行。

三、对5G安全工作模式演进的思考

从网络安全实践来看,当前,网络安全行业已有很多优秀的理论模型和实践案例。但总体而言,业界对于5G安全的认识理解与传统安全观较为趋同,安全范围仍然围绕“主机、系统、局域网段”等被保护对象;安全理念仍然以纵深防御、边界防护为主;安全手段仍然以病毒防护、防火墙、入侵检测等“老三样”为基础;安全运营仍然以查漏洞、打补丁等为主要工作方式。在5G网络架构云原生、服务专网化等背景下,这些传统的固有安全模式在实践中必然面临诸多挑战。

因此,5G时代的网络安全呼唤理论与实践的双重突破与创新。通过梳理总结与实践,我们认为5G时代网络安全防护体现为“三重境界”和“五种模式”。

第一重境界为确保资产“不被控”。当前,安全工作通常围绕“主机、系统或局域网”的“资产脆弱性”开展,通过针对局部保护对象的“漏洞”打补丁加固,避免或降低“漏洞”被利用的风险,实现网络资产不被控制的目标。在5G时代,基础通信运营企业还可通过采用新的虚拟补丁技术,针对漏洞攻击行为提供基于外部流量监测和防护的措施,降低漏洞被利用的可能性,可达到安全加固的目的。同时,基于零信任的安全理念,精细化权限管理和访问控制,持续做好信任评估,力争最小化漏洞被利用导致的危害范围,并及时发现和消除安全风险。

第二重境界为确保资产“不可达”。5G时代的远程通信具有“全程全网”的特点,以往以“一地一点”为局部保护对象的防护模式无法满足新安全需求。围绕“威胁来源”,通过优化底层承载网络的安全架构设计,由通信运营企业实施整体网络隔离,主动从源头屏蔽攻击,从而使攻击者即使了解网络资产信息,也无法获得攻击路径。

第三重境界为确保资产“不可知”。基于通信运营企业云网融合的安全架构,充分发挥5G网络“云原生”的特点,积极推进云化、安全内生化。未来,在网络承载通道隔离的基础上,依托云化实现网络资产“隐身”,业务和数据无固定承载实体,使得攻击者无法精准定位目标,从而无法发起攻击。

在具体实践上,上述“三重境界”可通过“五种模式”来递进式实施:

一是“补丁”模式。以往5G行业用户往往以业务发展为中心,在发现漏洞后采取“创可贴”式的事后补救措施,一般不会因安全而调整总体架构。

二是“铠甲”模式。目前5G行业用户安全意识已有显著提升,围绕主机、系统、局域网等被保护对象,主动开展以漏洞为核心的系统安全加固,但该模式下仍只重视局域资产的安全能力增强,未对广域承载架构做体系化优化。

三是“吊桥”模式。随着通信运营企业与5G行业用户日益紧密结合,从广域网络的角度看待安全,实现网络架构原生支持安全机制,能够围绕威胁来源在网络架构承载层面隔断网络通达路径,实现广域访问按需可达、用后关闭,同时强化针对性重点防护,实现更高等级的安全。

四是“反制”模式。基于通信运营企业特有的全程全网优势,综合考虑“接入、访问、使用”等阶段协同对抗攻击,针对发现的攻击源,帮助5G行业用户实施源头拦截、溯源、反制等措施。

五是“黑洞”模式。通信运营企业通过云化、服务发现等技术手段,实现5G行业用户的资产隐藏、资源动态迁移,无固定承载实体,使得攻击者愈加难以发起针对性的攻击。

四、基于通信运营企业特色的“5G安全网络”创新理念与实践

传统的安全防护理念难以应对5G多样化应用的安全需求,也难以继续推动安全防护手段和安全运营水平的迅速提升,需要以创新的理念构建5G网络安全防护体系,适配其差异化的网络和业务部署场景,解决其基础设施安全、应用安全、数据安全、终端安全和身份安全等全方位的安全问题。总而言之,以创新的理念促进安全防护体系的变革,并通过实践验证其可行性,是满足5G网络安全需求并为新基建提供基础安全保障的关键。

(一) “5G安全网络”创新理念

立足通信运营企业“网络+安全”的特色和优势,中国移动深入思考了网络安全的演变过程、技术特点与发展规律,总结形成了以“安全网络”为核心理念的5G安全体系。简要来说,“安全网络”是区别于传统的“网络安全”而言的,既是我们开展5G安全工作的指导理念,也是我们的工作目标。“安全网络”的突出特点是安全与网络共生、安全贯穿全程全网。

首先,安全与网络共生是由5G的技术特点决定的。一方面,与4G相比,5G支持切片技术,能够为不同行业应用提供相对隔离的网络通道,从网络架构承载层面隔离来自公网或者其他业务的攻击,力图实现未授权访问“不可达”。另一方面,5G具有云原生的特点,以云的方式建设与运维,具有更强的弹性和安全韧性,网络资产可以在云上实现“隐身”,力图实现重要资产“不可知”。这两方面的技术特性决定了5G的安全可以与网络共生。

其次,安全贯穿全程全网是由通信运营企业的属性决定的。传统“网络安全”基本上是从局域网范围的主机、系统出发,主要以逐个消除漏洞、配置安全策略为目标开展安全防护工作。而“安全网络”是通信运营企业特有的防护方式,需要紧密依托5G网络特有的可隔离性和5G时代“云网融合”的发展趋势,实现全程全网、端到端的安全保障。

需要强调的是,“5G安全网络”的实现需要产业链各方深入开展合作,可以做到“三重境界”按需叠加,“五种模式”综合运用。举例来说,如表1所示,通过“补丁模式”和“铠甲模式”实现网络资产“不被控”;通过“吊桥模式”和“反制模式”实现网络资产“不可达”;通过“黑洞模式”实现网络资产“不可知”,进而最终实现“网络安全”向“安全网络”的演变升级。

(二) 5G安全工作实践

中国移动贯彻落实统筹发展与安全要求,围绕网络安全工作坚持做好顶层设计,持续健全覆盖“点线面体”的网络安全防御体系,即以“云-管-边-端”等各类业务为“点”,推动做好业务安全防护;以安全应急响应为“线”,强化一体联动的闭环管理机制;以全网监测为“面”,推动安全风险与威胁整体可视、可感、可控;以网络安全工作责任制为“体”,确保各项要求落地做实。

在5G安全方面,基于全新的认识与思考,公司加快建立起涵盖标准、能力、应用的5G安全管理运营体系,各项工作保持行业领先。

一是推动建立5G安全统一标准。面向国内,牵头编制了全国首个《5G安全标准体系建设指南》,建立起5G安全标准体系图谱,初步划定了该领域的“四梁八柱”。同时,主导研制了国内首个5G安全通信行业标准。面向全球,中国移动在国际标准化组织(ISO)和TD-LTE全球发展倡议(GTI)等平台发布了多个5G垂直行业标准和白皮书。

二是全面构建5G安全防护能力。灵活叠加“三重境界”,按需组合“五种模式”,积极锻造风险识别、安全防御、安全检测、安全响应和安全恢复五大能力,全流程、全周期防范5G安全风险。

三是全力护航5G业务安全运行。积极推动“15个行业100个5G示范应用”项目落地推广,围绕5G智慧港口、超高清视频、5G抗疫复工等打造了40个5G安全“样板房”,入选GSMA、中国网络安全产业联盟、工业互联网产业联盟等优秀案例集。在工信部“绽放杯”5G应用征集大赛中取得了全国总决赛一等奖、18项安全专题赛奖项的突出成绩。

五、5G安全发展建议

当前,5G 产业链已经初具规模,5G产业的发展不仅亟需与之相适应的理论、实践和生态创新,还呼唤与之相适应的安全理念和安全防护体系创新。中国移动愿与产业合作伙伴携手,共创5G安全繁荣生态:

一是积极推进5G安全理论创新。立足5G技术本质和发展规律,树立全新的安全防护理念,在顶层设计上为5G持续健康发展提供坚实保障。

二是积极推进5G 安全实践创新。紧密结合5G网络特点和应用场景,组合运用多种模式,形成安全融合解决方案,在实践应用中持续完善防护理念与防护手段。

三是积极推进5G 安全生态创新。5G安全需要产业各方携手共进、同向发力,推动合作模式升级,强化合作机制落地,加强合作平台建设,促进合作利益共享,实现互惠互利、合作共赢。

(本文刊登于《中国信息安全》杂志2021年第2期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。